Senhas do MinistĂ©rio da SaĂºde vazam e expõem 16 milhões de brasileiros

As senhas permitiam acesso a dados como CPF, endereço, telefone e doenças pré-existentes de pelo menos 16 milhões de pessoas em todo o país, segundo o jornal

Senhas do MinistĂ©rio da SaĂºde vazam e expõem 16 milhões de brasileiros

Publicado em: 26/11/2020 Ă s 12:49 | Atualizado em: 26/11/2020 Ă s 12:51

Informações pessoais de pacientes com diagnĂ³sticos suspeitos ou confirmados de covid-19 ficaram disponĂ­veis na internet por quase um mĂªs depois que senhas do MinistĂ©rio da SaĂºde foram publicadas em uma plataforma aberta, segundo o jornal “O Estado de S. Paulo” em uma reportagem publicada nesta quinta-feira (26).

As senhas permitiam acesso a dados como CPF, endereço, telefone e doenças pré-existentes de pelo menos 16 milhões de pessoas em todo o país, segundo o jornal.

Os dados foram publicados por um funcionĂ¡rio do Hospital Albert Einstein, em SĂ£o Paulo, em um site de compartilhamento de cĂ³digos de programaĂ§Ă£o usado por programadores e cientistas de dados, tambĂ©m de acordo com o “O Estado de S. Paulo”.

Colaborador vazou dados

Em nota divulgada nesta quinta-feira (26), o hospital disse que “tomou conhecimento” na tarde de quarta-feira (25), que “um colaborador contratado para prestar serviços ao MinistĂ©rio da SaĂºde havia arquivado informações de acesso a determinados sistemas sem a proteĂ§Ă£o adequada.”

O Einstein disse que o funcionĂ¡rio foi demitido “por ter infringido as normas internas adotadas para garantir proteĂ§Ă£o e segurança de dados”. Segundo a nota, “nĂ£o houve divulgaĂ§Ă£o de quaisquer dados pelo empregado”, e o hospital “nĂ£o tem acesso a eles”.

Em comunicado anterior ao do hospital, o MinistĂ©rio da SaĂºde afirmou que o Einstein estava adotando medidas para “um possĂ­vel vazamento de arquivos contendo login e senha para acesso das informações” por meio de um mecanismo de busca de dados aberto chamado Elastic Search.

Ainda de acordo com a pasta, o hospital informou que “uma planilha foi equivocadamente publicada em uma plataforma de hospedagem de cĂ³digo-fonte”.

Nem o Einstein, nem o MinistĂ©rio da SaĂºde confirmaram o nĂºmero de pacientes cujas informações podem ter ficado expostas apĂ³s a publicaĂ§Ă£o das senhas.

Senhas e planilha

 

De acordo com o “O Estado de S. Paulo”, com as senhas publicadas, era possĂ­vel acessar registros relacionados Ă  Covid-19 em dois sistemas do governo federal: um com notificações de casos suspeitos e confirmados da doença e outro com as internações por sĂ­ndrome respiratĂ³ria aguda grave (SRAG).

A SRAG pode ser causada por vĂ¡rios vĂ­rus respiratĂ³rios, mas, neste ano, quase 98% dos casos no Brasil tĂªm o vĂ­rus da Covid-19 como causa, segundo dados da Fiocruz.

Os dados das internações por SRAG tĂªm sido usados para estimar com mais precisĂ£o o nĂºmero de casos de Covid no paĂ­s – que sĂ£o subnotificados por causa da pouca testagem.

O jornal disse que recebeu uma denĂºncia com o link para pĂ¡gina onde a senhas estavam disponĂ­veis. Segundo a reportagem, a planilha com os dados foi publicada em 28 de outubro.

Na nota desta quinta (26), o Einstein disse que as informações “foram removidas imediatamente e o fato comunicado ao MinistĂ©rio da SaĂºde para que fossem tomadas medidas que assegurassem a proteĂ§Ă£o das referidas informações.”

O MinistĂ©rio da SaĂºde informou que o Departamento de InformĂ¡tica do SUS (DataSUS) “revogou imediatamente todos os acessos dos logins e das senhas que estavam contidos na referida planilha”.

Ainda de acordo com a SaĂºde, os bancos de dados “nĂ£o sĂ£o de fĂ¡cil acesso, uma vez que apenas login e senha nĂ£o sĂ£o suficientes para se chegar Ă s informações contidas nos bancos de dados – e sim um conjunto de fatores tĂ©cnicos”.

Dados de membros do governo

 

A reportagem afirma que o presidente Jair Bolsonaro e ao menos outros 7 ministros foram afetados pelo vazamento – incluindo o ministro da SaĂºde, Eduardo Pazuello; o ministro da Cidadania, Onyx Lorenzoni; e a ministra da Mulher, FamĂ­lia e dos Direitos Humanos, Damares Alves.

TambĂ©m tiveram os dados expostos o governador de SĂ£o Paulo, JoĂ£o Doria (PSDB), e outros 16 governadores, alĂ©m dos presidentes da CĂ¢mara, Rodrigo Maia (DEM-RJ), e do Senado, Davi Alcolumbre (DEM-AP), de acordo com o jornal.

Ainda segundo a reportagem, “tanto pacientes da rede pĂºblica quanto da privada tiveram seus dados expostos”, porque a notificaĂ§Ă£o de casos suspeitos e confirmados de Covid Ă© obrigatĂ³ria a todos os hospitais.

Nota do Hospital Albert Einstein

 

“SĂ£o Paulo, 26 de novembro de 2020 – O Hospital Israelita Albert Einstein tomou conhecimento na tarde desta quarta-feira, 25/11, que um colaborador contratado para prestar serviços ao MinistĂ©rio da SaĂºde havia arquivado informações de acesso a determinados sistemas sem a proteĂ§Ă£o adequada.

Estas informações foram removidas imediatamente e o fato comunicado ao MinistĂ©rio da SaĂºde para que fossem tomadas medidas que assegurassem a proteĂ§Ă£o das referidas informações.

O Einstein ressalta que nĂ£o houve divulgaĂ§Ă£o de quaisquer dados pelo empregado e que o hospital nĂ£o tem acesso a eles. Eles ficam arquivados em uma base de dados do MinistĂ©rio da SaĂºde e sĂ£o usados em um programa de monitoramento da pandemia de Covid-19. O colaborador estava inclusive locado em BrasĂ­lia.

A organizaĂ§Ă£o reitera seu compromisso com a segurança das informações e a proteĂ§Ă£o de dados e informa que jĂ¡ iniciou a apuraĂ§Ă£o do incidente. AlĂ©m disso, realizou na manhĂ£ da quinta-feira, 26/11, o desligamento do colaborador por ter infringido as normas internas adotadas para garantir proteĂ§Ă£o e segurança de dados.”

Nota do MinistĂ©rio da SaĂºde

 

“O MinistĂ©rio da SaĂºde informa que realizou reuniĂ£o com o Hospital Israelita Albert Einstein – com quem tem parceria via Proadi -, para esclarecimento dos fatos. O profissional contratado atua no MS como cientista de dados e iniciou as atividades em 14/09/2020 e, no Ă¢mbito das medidas de segurança do ministĂ©rio, em atendimento aos protocolos de compliance e confidencialidade, por meio de assinatura do termo de responsabilidade antes do acesso Ă  base de dados do e-SUS Notifica.

O Hospital informou ao MinistĂ©rio da SaĂºde que iniciou um processo de apuraĂ§Ă£o dos fatos. A equipe de segurança cibernĂ©tica do hospital estĂ¡ tomando todas as medidas para conter um possĂ­vel vazamento de arquivos contendo login e senha para acesso das informações dos sistemas via Elastic Search. A instituiĂ§Ă£o informou, tambĂ©m, que uma planilha foi equivocadamente publicada em uma plataforma de hospedagem de cĂ³digo-fonte. Este documento foi apagado e estĂ¡ sendo realizado o rastreamento de possĂ­veis sites ou ciberespaços onde os dados podem ter sido replicados. O hospital confirmou que houve falha humana de um dos seus colaboradores – e nĂ£o do sistema.

O Departamento de InformĂ¡tica do SUS (DataSUS) revogou imediatamente todos os acessos dos logins e das senhas que estavam contidos na referida planilha. É importante ressaltar que os dados nĂ£o sĂ£o de fĂ¡cil acesso, uma vez que apenas login e senha nĂ£o sĂ£o suficientes para se chegar Ă s informações contidas nos bancos de dados – e sim um conjunto de fatores tĂ©cnicos,. O MinistĂ©rio da SaĂºde ressalta que todos os tĂ©cnicos que tĂªm acesso aos seus sistemas de informaĂ§Ă£o assinam termo de responsabilidade para uso das informações e todos estĂ£o cientes de que a divulgaĂ§Ă£o de informações pessoais estĂ¡ sujeita a sanções penais e administrativas.”

Leia mais no G1

Foto: Valter Campanato/AgĂªncia Brasil